博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2273|回复: 5

华为8500交换机防ARP案例

[复制链接]
发表于 2008-10-23 06:17:05 | 显示全部楼层 |阅读模式
华为8500交换机防ARP案例

  

   一、各产品技术问题公告

  1、关于VRP3.4-0006版本在MP接口上启用MPLS必须关闭快转问题的公告

  问题描述:
  MP
  RTA-----RTB------RTC
  RTA、RTB、RTC之间组建MPLS VPN网络,如果同时在RTB和RTC之间使用MP,则会出现从RTA上无法ping通RTC的loopback地址,从而导致无法建立BGP邻居的问题。但是使用VRP3.30-0008却没有该现象。

  解决方案:目前,对于该问题可以在MP接口上使用“undo ip fast-forwarding”命令关闭快转功能来规避。

  2、关于S2403H掉电后上行端口无法学习到对端设备mac地址的公告

  在使用S2403H交换机时,如果S2403H和对端设备同时掉电,或者对端设备掉电重启后,有可能会出现S2403H下面用户无法上网的故障现象。
  该故障原因是由于对端设备重启后(目前发现对端设备是S3528系列交换机时,容易出现该问题),向S2403H发送不兼容信号,导致S2403H的上行端口无法学习到对端设备的mac地址,致使S2403H下面用户无法上网。
  该故障出现几率较小,且比较随机。0022及以后版本已解决该问题。

  3、R2620 路由器上插入两块E&M 2.1单板后设备无法启动的问题

  问题描述:R2620路由器上插入两块或者两块以上E&M 2.1单板后设备无法启动,而插入E&M 2.0单板不存在此问题。

  采取措施:基于以上原因,R2620目前规格只支持一块E&M 2.1单板;如果需要支持两块以上,建议其他几块用E&M 2.0替代。

  4、中低端路由器VOIP与Cisco IOS 12.3版本对接,在启动快启后,可能出现单通或语音质量不好的问题

  问题描述:中低端路由器语音与Cisco IOS 12.3版本互通,在启用快启后,出现单通或者语音质量不好现象。

  采取措施:将两端的路由器的快启功能都关闭。
  华为的中低端路由器的快启功能默认是关闭的。思科快启是默认启用的,可以在思科路由器上关闭快启进行规避。思科路由器上关闭快启的命令是no h323 call start

  5、S3528-S3552启用DHCP SERVER导致死机的的问题

  问题描述:S3528-S3552-VRP3.10-0012及以前版本在启用DHCP server后,可能出现异常死机情况。

  采取措施:升级到S3528-S3552-VRP3.10-0013版本及以后版本可以根本解决该问题。

  6、关于MA5200G的 IPOA业务中MAP IP命令可能配置不成功的问题

  问题描述:MA5200G VRP3.30-2121及以前版本,在配置IPOA业务时,使用MAP IP命令可能出现配置不成功的现象。

  采取措施:在ATM子接口下,配置了PVC 及 MAP IP时,不要直接删除此ATM子接口;如果要想删除此ATM子接口,必须先把每个PVC下的MAP IP清除掉后,再删除此子口。
  升级到2121以后(不包括2121)版本解决该问题。

  二、学习案例

  1、S8500 ARP攻击相关问题说明
  ARP攻击简介:
  这里,我们将利用ARP报文发起的攻击的行为,统称为“ARP攻击”,其常见的攻击方式有如下两种:
  其一,由于ARP协议没有任何验证方式,在网络监听过程中,攻击者抢先合法目的主机应答源主机发起的ARP请求,源主机被误导建立一个错误的映射并保存一段时间,在这段时间内,源主机发送给目的主机的信息被误导致攻击者。如果攻击者模拟网络出口路由器发动ARP攻击,内部网络的所有出口信息都将被接管。
  其二:攻击者向三层交换机发送大量的ARP报文,由于设备的处理能力和资源有限,当冲击设备的报文达到一定数量的时候,会导致合法主机的ARP报文被“淹没”于其中而得不到处理,结果无法生成正常的ARP表项,从而导致三层转发异常。
从实施难度和危害程度来说,第二种方式操作较为容易,并且危害也更为严重,也是我们在交换机侧需要予以重点关注和预防的攻击方式,因此我们这里所说的ARP攻击,特指这种攻击方式。

  2、S8500 ARP防攻击机制

  为了增加产品的健壮性,S8500设计并实现了ARP的攻击检测及抑制功能,该功能通过以下命令进行控制:
  anti-attack arp {enable | disable }

  当使能了该功能后,系统自动检测冲击设备的ARP报文,在检测到攻击报文时,提取出该报文的源MAC,然后自动下发一条抑制表项,在一段时间内抑制相同源MAC的报文转发。抑制定时器超时后,自动解除,恢复转发。
 
  其次,我们可以通过使用ACL规则对各端口接收到的ARP报文进行流量监管,下面采用一个实际的例子给大家示范一下。如果S8500上的Ethernet2/1/7受到了ARP攻击,我们可以采用下面的配置步骤解决这个问题:
  (1)配置流模板如下:
[8512D]flow-template user-defined ethernet-protocol ip-protocol
  (2)配置ACL规则如下:
[8512D]acl name robust_arp link
[8512D-acl-link-robust_arp]rule permit arp
  (3)在受攻击的端口E2/1/7上,利用ACL规则下发流量监管功能。
[8512D-Ethernet2/1/7]flow-template user-defined
[8512D-Ethernet2/1/7]raffic-limit inbound link-group robust_arp 128 512 512 exceed drop

  在端口上进行这样的配置可以使其他端口的用户在该端口受到ARP攻击之后,本端口的ARP学习不受影响。

  我们通过灵活运用ARP防攻击功能和流量监管,85对于ARP攻击是可以有效预防的。

  3、ARP攻击对比测试

  ARP攻击是常用的攻击手段之一,为了更好的对ARP防攻击进行优化处理,对同类型的几款产品进行了对比测试。按照不同的攻击手法,我们分为下面三个测试用例进行对比测试。

  一个端口属于一个vlan,这个端口受到ARP攻击,如图1-1所示,端口A属于vlan10,端口B属于vlan20,从A端口打入ARP攻击报文,报文的原ip地址1000个循环一次,报文发送方式为连续;B端口打入原ip地址变化的100条流,速度为1.50包/s,发送方式为一次发完.。
                   图1-1
  测试结果见下表:
  一个端口允许了很多vlan通过,此端口同时受到多个vlan下的ARP攻击,如图1-1,A端口 trunk permit vlan 2 to 61,B端口只属于vlan 80。从A端口中打入ARP攻击报文,每个vlan一个攻击报文,发送方式为连续发送;B端口中打入100条原ip地址循环变化的正常ARP请求报文,速度为1.50包/s,发送方式为一次发完。

  测试结果见下表:
  同一个局域网上来的报文中存在攻击报文,如图1-2,两个端口所属的vlan是同一个vlan,中间的3050上的三个端口同属于同一个vlan,从A端口循环打入1000条ARP攻击报文,发送方式为连续发送;从B端口打入100条正常的ARP学习报文,报文速度为1.50包/s,发送方式为一次发完。
                   图2-2
  测试结果见下表:
  从测试结果,我们不难看出,三种设备的处理能力有限。在设备被攻击时,最好能查找攻击源,然后将其划入黑名单(通过ACL等手段过滤)。
发表于 2009-1-2 13:25:56 | 显示全部楼层

关注楼主,关注生活

我忘记了酒曲哪年哪月的哪一天 我在二手激光打印机哪面墙上刻下了一张脸 ,一张伟哥微笑着,忧伤着,望着我的生料酒曲,那些刻在椅背后的爱情  会不会像水泥地上的花朵 开出地老天荒的 没有风的森林
libaoo858 该用户已被删除
发表于 2009-5-4 12:14:07 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 23:25 , Processed in 0.096125 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表